La GARR-CA offre ai propri utenti soluzioni adeguate per la gestione dell’identità, la riservatezza, la protezione dei dati personali

Simona Venuti, GARR
Servizi di supporto alle applicazioni
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Il tema della sicurezza in rete è senz’altro uno degli aspetti che suscitano un ampio dibattito e sono al centro dell’attenzione degli esperti. Di fronte all’utilizzo massiccio di comunicazioni elettroniche e la crescente diffusione di operazioni via web spesso molto delicate, il problema di accertare l’identità di chi abbiamo “virtualmente” di fronte diventa rilevante.

Per questo motivo vengono usati dei certificati digitali. Si tratta di file che consentono di garantire l’identità di un soggetto, sia server che persona.

Da quando nel 1997, grazie alla legge Bassanini, venne sancita la validità giuridica dei documenti elettronici, è stata fatta molta strada nella diffusione dell’utilizzo della firma digitale. Le normative successive, che hanno obbligato alcuni enti giuridici ad utilizzare certificati digitali nelle comunicazioni verso gli enti pubblici, hanno favorito ulteriormente il loro sviluppo.

La certificazione digitale è strettamente legata al problema della sicurezza, non solo per quanto riguarda le identità personali ma anche quelle dei server. Negli ultimi anni, infatti, abbiamo assistito a numerosi casi di furti di identità e di credenziali, per esempio per entrare nel sito del conto corrente bancario di altre persone. Tali attacchi si basano su tecniche di phishing, in cui l’utente viene redirezionato a sua insaputa su un server falso, perfettamente identico a quello della sua banca, ma di proprietà del malfattore, che immediatamente si appropria dello username e password del conto corrente bancario.

In uno scenario del genere, è estremamente importante capire se il server su cui si stanno per compiere operazioni bancarie o qualsiasi altro tipo di azioni personali e riservate, sia quello originale o quello fasullo. I certificati digitali possono fare in modo di garantire che quel server sia effettivamente quello giusto.

Cos’è un certificato digitale

Un certificato digitale è una chiave che può essere usata per criptare e firmare messaggi. Un sistema crittografico deve garantire la riservatezza dei dati trasmessi rendendoli incomprensibili a chi non sia in possesso della giusta chiave per decifrarli. Le chiavi di codifica e decodifica possono essere di tipo simmetrico oppure a chiave pubblica (detto anche di tipo asimmetrico).

Nella crittografia a chiave simmetrica, una stessa chiave viene utilizzata sia per codificare che decodificare un messaggio. Sarà dunque necessario conoscere e incontrare personalmente il soggetto cui si vuole trasmettere il messaggio per evitare di consegnare la chiave alla persona sbagliata e impedire che qualcuno possa intercettare la chiave.

Questo sistema non è particolarmente efficace quando si tratta di scambiare messaggi con molte persone. Per risolvere il problema, è stato inventato il sistema a chiave asimmetrica, o pubblica. In questo modo si usano due diverse chiavi: una per codificare e l’altra per decodificare. Il sistema è fatto in maniera tale che le due chiavi siano derivate l’una dall’altra, ma non sia possibile in nessun modo risalire dall’una all’altra. Con il sistema a chiave pubblica, una delle due chiavi viene protetta al massimo e per convenzione viene chiamata “chiave privata”, e può essere tenuta su chiavette USB, smartcard o in cassaforte. L’altra chiave invece viene diffusa all’esterno, utilizzando anche siti web predisposti appositamente, in modo che tutti i potenziali corrispondenti possano farsene una copia.

L’univoca corrispondenza delle due chiavi permette sia di verificare la corretta identità del mittente (utilizzando la sua chiave pubblica) sia di spedire un messaggio privato ad un preciso destinatario per essere sicuri che solo lui possa leggerlo. In questo caso, il mittente cripterà il messaggio con la chiave pubblica del destinatario il quale, usando la propria chiave privata, sarà l’unico in grado di leggere il contenuto, grazie alla proprietà di legame fra le chiavi asimmetriche.

Un certificato digitale dunque consiste in questa coppia di chiavi (pubblica e privata) e si tratta fisicamente di un file che attesta con una firma digitale l’associazione fra una chiave pubblica e l’identità fisica di un soggetto, sia esso una persona o un server.

Chi rilascia i certificati

I sistemi per fare in casa un certificato digitale sono molti e disponibili a tutti, risulta quindi piuttosto facile per chiunque emettere un certificato a nome di un altra persona, per esempio a nome del Presidente della Repubblica o del Rettore dell’Università, e, di conseguenza, mandare e-mail firmate come se fossero loro. Da questo problema nasce l’esigenza di istituire degli enti “certificatori” (come, per esempio, la GARR-CA) che possano garantire che uno specifico certificato appartenga davvero a quella persona fisica. Il certificato digitale in fondo è l’equivalente di un documento di identità e, come questo, viene rilasciato da un’Autorità di Certificazione (CA) universalmente accettata e ritenuta affidabile. Una Certification Authority rilascia i certificati a chi ne fa richiesta e svolge il ruolo di garante dell’identità di chi lo usa, così come avviene per le autorità di pubblica sicurezza (prefettura, comune, ecc.) che emettono documenti di identificazione quali il passaporto o la carta d’identità.

Le politiche di autenticazione e identificazione di una persona che richiede il certificato variano in base alla CA cui si fa richiesta. A seconda degli usi che se ne vuole fare, per esempio, ci sono CA che rilasciano certificati digitali che hanno valenza legale, cioè possono essere utilizzati nell’invio delle e-mail che sono riconosciute come normali “raccomandate”. Le CA che aderiscono a questo tipo di politiche sono elencate sul sito di DigitPA (ex CNIPA, www.digitpa.gov.it).

La GARR-CA, pur avendo procedure di identificazione e gestione molto rigide, non è interessata ad avere valenza legale, perché il suo scopo è soprattutto offrire gratuitamente alle università e agli enti di ricerca un sistema sicuro per certificare le identità per usi di ricerca.

I certificati rilasciati dalla GARR-CA sono riconosciuti dalla comunità internazionale dell’università e della ricerca. Le procedure stabilite dalla GARR-CA, infatti, sono ritenute affidabili e solide, in questo modo essa è l’unica CA che permette di estendere la catena di fiducia (trust) a livello internazionale, verso “confederazioni” accademiche e della ricerca.

I vantaggi per gli utenti

I servizi GARR sono sempre più improntati ad essere gestiti tramite accessi con certificato digitale, in modo che chi utilizza il servizio sia sicuro che si tratti di un servizio GARR, mentre allo stesso tempo il GARR ha la certezza che l’utente che sta utilizzando un suo servizio sia quello identificato personalmente.

I vantaggi per la comunità GARR nell’utilizzare la GARR-CA possono essere molteplici, come ad esempio, aderire alla Federazione IDEM per usare un’unica chiave di accesso valida per molti servizi online, utilizzare il servizio SCARR per testare la sicurezza delle proprie macchine e reti, sfruttare il servizio Eduroam che consente di accedere in maniera semplicissima alle reti wireless nelle organizzazioni italiane ed europee che lo supportano, utilizzando la stessa chiave di accesso che si usa nella propria struttura.

I certificati TCS

Alcuni certificati sono automaticamente riconosciuti come attendibili dai browser con i quali vengono utilizzati ma la GARR-CA non è compresa in questo elenco. Ciò accade perché la procedura per far diventare una CA universalmente riconosciuta da tutti i programmi è particolarmente costosa ed esula dallo scopo per cui è nata la GARR-CA che è piuttosto quello di stabilire un sistema di fiducia all’interno della comunità dell’università e della ricerca.

Tuttavia, GARR ha voluto fornire un servizio di certificazione universalmente riconosciuto, aderendo al servizio di TERENA Certificate Service (TCS). Sebbene tali certificati abbiano un costo molto alto, essi vengono rilasciati in maniera completamente gratuita per tutti gli utenti GARR.

TERENA, infatti, ha stipulato, un contratto con una CA commerciale, Comodo CA Limited, per la fornitura di certificati di diversi tipi ad un costo vantaggioso rispetto a quello che potrebbero fare singolarmente le reti della ricerca europee. Ha poi stabilito regole e procedure affinché ciascuna rete della ricerca sia in grado di far emettere i propri certificati, garantendo comunque fiducia e affidabilità.

Attualmente sono già disponibili i certificati TCS di tipo server, inoltre prossimamente, GARR fornirà, gratuitamente ai propri utenti anche altri tipi di certificati che ha già acquistato da Comodo tramite TERENA, ma non sono ancora attivati perché mancano le procedure informatiche fornite da quest’ultima. Si tratta di:
- certificati personali, identici ai certificati personali della GARR-CA, ma universalmente riconosciuti, per identificare gli utenti e firmare messaggi;
- certificati e-Science personali e server, utilizzati per identificare utenti, servizi o server nei sistemi di Grid.
Ci sono studi e procedure in atto che prevedono che questo tipo di certificati diventerà lo standard per EuGridPMA, l’organizzazione internazionale che coordina l’ambiente di autenticazione per tutte le Grid europee e si occupa di stabilire e armonizzare le procedure e le regole di identificazione, autenticazione e autorizzazione per l’accesso alle griglie.

Vantaggi e risparmi

I vantaggi di utilizzare certificati TCS all’interno di una struttura sono molteplici: dalla fornitura di accessi sicuri agli utenti alla disponibilità di certificati universalmente riconosciuti da tutti i più diffusi programmi.

Oltre ai numerosi vantaggi tecnici, il beneficio maggiore è di tipo economico: basti pensare che un certificato server, a seconda del tipo, costa da 300 a 1.000 dollari l’anno e che mediamente un’organizzazione necessita di una decina di certificati server (pop, imap, www, server dei gestionali, ecc). Il GARR fornisce gratuitamente i certificati server di alto livello consentendo un risparmio annuo fino a 10.000 dollari.

Come fare per ottenere i certificati GARR-CA

La struttura generale di ogni Certification Authority è di tipo gerarchico: il responsabile della gestione dei certificati è il Gestore della CA che assicura a tutti la corrispondenza fra l’identità di una persona ed un certificato.

Poiché il Gestore della CA non è in grado di conoscere personalmente tutte le persone che richiedono un certificato, il sistema di identificazione viene delegato localmente alle diverse organizzazioni, dette Registration Authority (RA). Quindi gli enti e le università che volessero utilizzare certificati GARR-CA prima di tutto devono istituire presso la propria struttura una RA.

La GARR-CA fornisce dei corsi gratuiti per RA dove vengono spiegate le procedure burocratiche da seguire e i principi basilari del funzionamento e la gestione dei certificati.

L’utente finale che volesse un certificato dovrà prima recarsi dalla propria RA per ottenere l’autorizzazione e successivamente completare la richiesta online. Collegandosi ad un indirizzo interno al sito della CA, l’utente stesso potrà generare la propria coppia di chiavi. Il sistema è completamente automatico e fa in modo che la chiave privata dell’utente rimanga protetta dentro il suo browser, mentre la chiave pubblica venga spedita alla CA. In questo modo la CA non entra in possesso mai di nessuna chiave privata. Dopo la verifica della corrispondenza tra i dati forniti dalla RA e quelli inseriti dall’utente, l’utente può accoppiare la chiave privata in suo possesso con quella pubblica cliccando su un link fornito dalla CA. Ecco prodotto il certificato digitale, che successivamente può essere esportato su qualsiasi supporto di memorizzazione.

Con una procedura simile un utente che possiede già un certificato personale GARR-CA può richiedere anche un certificato valido per i server.